Alle einweisen
Let’s Encrypts Wildcard-Zertifikate mit Traefik nutzen
Der Reverse-Proxy Traefik kann nicht nur Let’s-Encrypt-Zertifikate für eine Subdomain verwalten, sondern auch Wildcard-Zertifikate zur Absicherung des gesamten Verkehrs für alle Hosts einer Domain bestellen. Dafür ist aber eine Verifizierung per DNS nötig, die man im Zusammenspiel mit dem DNS-Provider einrichten muss.
Let’s Encrypt hat das Beschaffen von kostenlosen und vom Browser akzeptierten TLS-Zertifikaten so einfach gemacht, dass jeder seine Online-Dienste verschlüsselt anbieten kann. Seit 2018 bietet der Dienst auch Wildcard-Zertifikate an. Mit dieser Art von Zertifikat kann man eine Hauptdomain und alle ihre Subdomains absichern. Man muss also nicht mehr für jede Subdomain ein eigenes Zertifikat ordern, sondern braucht nur noch ein einziges für alle.
Für die Bestellung dieser Wildcard-Domains muss man jedoch eine sogenannte DNS-01-Challenge absolvieren. Diese wurde mit dem Standard ACME 2.0 (Automatic Certificate Management Environment) eingeführt. Hier beweist der Besteller eines Zertifikats durch das Erstellern eines speziellen DNS-Eintrags, dass ihm die Domain auch gehört. Damit stellt Let‘s Encrypt sicher, dass nur jemand, der Kontrolle über den DNS-Eintrag einer Domain hat, auch Wildcard-Zertifikate bekommt. Die HTTP-Challenge oder auch die TLS-ALPN-01-Challenge, für Systeme, bei denen Port 80 nicht erreichbar ist, reichen hier nicht aus. Somit ist sichergestellt, dass jemand, der nur eine Subdomain kontrolliert, sich kein Zertifikat für die Hauptdomain und alle anderen Subdomains erschleichen kann.
